Webwinkels beveiligen klantgegevens onvoldoende

Door: | 29 december 2010 13:12

Apps & Software

Liefst 86 procent van de Nederlandse webwinkels heeft geen versleutelde verbinding om het onderscheppen van persoons- en inloggegevens te voorkomen. ‘Zorgwekkend’, vindt het CBP.

Uit een steekproef onder bijna 12.000 Nederlandse webwinkels blijkt dat het overgrote deel niet de moeite neemt om persoonsgegevens van klanten te beschermen met een versleutelde verbinding tussen browser en server via SSL. Het percentage kruipt omhoog, maar is nog steeds maar 14 procent.

Ruim 86 procent van de webwinkels biedt geen SSL op pagina’s waar dat wel zou moeten. SSL-beveiliging is herkenbaar aan het slotje in de adresbalk van de browser en https aan het begin van de url.

Currence moet SSL afdwingen

Het gaat daarbij om inlogpagina’s en invulformulieren waar naam, adres, en soms ook rekeningnummer wordt ingevuld. Alle webwinkels uit de steekproef bieden ook betaling via iDeal aan. Dat gaat met een module van een derde betalingsbedrijf en die zijn hoogstwaarschijnlijk wel goed beveiligd, maar dat is niet onderzocht.

Het aanbieden van iDeal is dus totaal geen garantie dat andere privédata van consumenten ook veilig zijn bij een webwinkel, concludeert Networking4All, die het onderzoek jaarlijks uitvoert. Brancheorganisatie Thuiswinkel.org stel het gebruik van SSL sinds begin dit jaar verplicht. Maar daar zijn ‘slechts’ duizend, veelal grotere webshops, lid van. Idealiter zou Currence, de eigenaar van iDeal, webwinkels ook moeten dwingen om SSL te gebruiken bij andere pagina’s als ze iDeal willen aanbieden, stel Networking4All, zelf aanbieder van SSL-certificaten.

Gezien dat business model erkent technisch directeur Paul van Brouwershaven wel dat het wellicht beter zou zijn als een onafhankelijk onderzoeksbureau het onderzoek zou uitvoeren. Het periodieke onderzoek is eigenlijk voortgekomen na een verzoek van het dagblad AD drie jaar geleden, legt Van Brouwershaven uit. Vandaar dat het bedrijf het nog steeds zelf doet. “En we hebben ook de juiste kennis er voor in huis. Maar we juichen het zeker toe als anderen een vergelijkbaar onderzoek zouden opzetten.”

SSL slechts één maatregel

Brouwershaven erkent ook dat SSL slechts een van vele noodzakelijke securitymaatregelen is voor een site. “Uiteraard moet een site ook beschermd zijn tegen zaken als cross-site scripting en sql-injection. Maar voor eindgebruikers is versleuteling makkelijk zelf te controleren. Dat is een goed begin, dat consumenten kritisch naar sites kijken waar ze persoonsgegevens achterlaten,” aldus Brouwershaven.

SSL speelt wel een steeds belangrijker rol, aangezien er steeds meer laagdrempelige tools verschijnen om internetverkeer af te luisteren. Denk bijvoorbeeld aan Firesheep, dat wachtwoorden van open draadloze netwerken kaapt. Daar komt bij dat veel mensen dezelfde inlog en wachtwoordcombinatie gebruiken voor veel sites. Hebben kwaadwillenden één setje te pakken, dan kunnen ze vaak ook met die gestolen identiteit elders aan de bak.

NTI: invoeren privédata voor eigen risico

Networking4All haalt in het rapport enkele opvallende voorbeelden aan. Zo blijkt dat zowel het inschrijfformulier als de inlog voor studenten én docenten van NTI niet versleuteld is. NTI meldt zelf in zijn privacyverklaring: “Geen enkele systeem en datatransmissie over het internet kan echter volledig beveiligd worden. Bijgevolg is het voor ons onmogelijk de veiligheid van de door u verstrekte gegevens te garanderen of te beschermen en doet u dit op eigen risico.”

In de Wet bescherming persoonsgegevens (Wbp) staat dat het verplicht is om het verzenden van persoonsgegevens via internet te beveiligen. Privacytoezichthouder CBP vindt de resultaten van het onderzoek dan ook ‘zorgwekkend’. "Het wordt hoog tijd dat webwinkels controleren of ze maatregelen hebben die persoonsgegevens beveiligen", aldus een woordvoerder van het CBP tegenover NU.nl. Twee jaar geleden gaf het CBP dezelfde reactie.

Bron: Webwereld.nl